2022年12月29日ATD知识库发布说明更新范围如下:
AI知识库:有更新
sde-rules-20221228_151124_stan更新日志:
1. 尝试获取用户权限: 有更新
2. CVE漏洞攻击: 有更新
3. APT事件: 有更新
4. 特洛伊木马通信: 有更新
5. 潜在恶意流量: 有更新
6. 潜在信息泄露: 有更新
7. Web应用攻击: 有更新
其中,重要的更新规则如下:
漏洞描述:ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架 。由于Thinkphp 程序中存在传入参数检查缺陷,当Thinkphp开启了多语言功能,未经身份验证的攻击者可以通过 get、header、cookie 等位置传入参数,实现目录穿越及文件包含,最终通过 pearcmd 文件包含trick实现远程代码执行。
漏洞详情:4026932、4026933,thinkphp多语言文件包含漏洞,使用pearcmd尝试rce
影响范围:thinkphp
威胁等级:高危
参考链接:https://forum.ywhack.com/thread-201876-1-1.html
漏洞描述:E-mobile的Init.php存在未授权任意文件上传漏洞
漏洞详情:4026935、4026936,泛微 OA E-mobile Init.php 任意文件上传漏洞,url:/E-mobile/App/Init.php
影响范围:泛微OA
威胁等级:高危
参考链接:https://forum.ywhack.com/thread-201180-1-1.html
漏洞描述:FF4J 是一款开源的实现特性功能切换的框架。FF4J 中某接口存在任意类实例化漏洞。在存在特定依赖的情况下,攻击者可构造恶意请求造成远程代码执行。
漏洞详情:4028025,FF4J远程命令执行漏洞(CVE-2022-44262)
影响范围:FF4J <= 1.8.12
威胁等级:高危
参考链接:https://forum.ywhack.com/thread-201891-1-1.html
漏洞描述:Cacti是一个服务器监控与管理平台。在其1.2.17-1.2.22版本中存在一处命令注入漏洞,攻击者可以通过X-Forwarded-For请求头绕过服务端校验并在其中执行任意命令。
漏洞详情:4028026,Cacti 前台命令注入漏洞(CVE-2022-46169)
影响范围:Cacti version 1.2.17-1.2.22
威胁等级:高危
参考链接:https://github.com/vulhub/vulhub/blob/master/cacti/CVE-2022-46169/README.zh-cn.md
漏洞描述:由于validate_binary_path中存在缺陷,在Windows环境下,无需身份验证的攻击者通过构造恶意请求,导致pgAdmin访问恶意的UNC地址,最终实现在目标系统上执行任意代码。
漏洞详情:4028027,pgAdmin validate_binary_path 远程代码执行漏洞(CVE-2022-4223)
影响范围:pgAdmin for Windows < v6.17
威胁等级:高危
参考链接:https://forum.ywhack.com/thread-201877-1-1.html
漏洞描述:Jeecg-Boot是JeecgBoot社区的一款基于代码生成器的低代码平台。JeecgBoot Jeecg-Boot v3.4.3版本存在安全漏洞,该漏洞源于通过组件/sys/dict/queryTableData发现包含SQL注入漏洞。
漏洞详情:4010595,JeecgBoot Jeecg-Boot SQL注入漏洞(CVE-2022-45205)
4010596,JeecgBoot Jeecg-Boot SQL注入成功(CVE-2022-45205)
影响范围:JeecgBoot<=3.4.3
威胁等级:中危
参考链接:https://forum.ywhack.com/thread-201836-1-1.html
AI知识库:
aimatrix组件检测优化,检测过滤优化;
优化CobaltStrike检测效果;
优化SQL注入请求体检测效果;
请您联系供应商获取知识库升级包下载地址,并及时下载最新的知识库进行升级和在公司内部同步!
服务电话:4001033982
技术支持邮箱:support@geyecloud.com
